Відповідно до статті 7 Адміністративних домовленостей щодо охорони інформації з обмеженим доступом між Урядом України та Організацією Північноатлантичного Договору, ратифікованих Законом України від 24 травня 2017 року № 2068-VIII, підпунктів 95-9, 95-10 пункту 4, пункту 10 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та з метою забезпечення акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом, НАКАЗУЮ:

1. Затвердити Порядок акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом, що додається.

2. Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

1. Цей Порядок визначає процедуру акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом, що доступна (поширюється) для України та використовується органами державної влади, підприємствами, установами і організаціями України (далі — УКР-НАТО ІКС).

2. Акредитація з безпеки УКР-НАТО ІКС проводиться з метою перевірки, аналізу, оцінки та підтвердження належного рівня впроваджених заходів безпеки УКР-НАТО ІКС щодо їх відповідності вимогам нормативно-правових актів України та НАТО з питань охорони та захисту інформації.

Основним елементом акредитації з безпеки УКР-НАТО ІКС є визначення прийнятного рівня залишкового ризику, який необхідно контролювати протягом усього життєвого циклу УКР-НАТО ІКС.

3. У цьому Порядку терміни вживаються в такому значенні:

акредитація з безпеки УКР-НАТО ІКС — процес підтвердження відповідності вимогам щодо забезпечення достатнього рівня захисту УКР-НАТО ІКС з урахуванням умов конфіденційності, цілісності, доступності, безвідмовності та ідентифікації, встановленим нормативно-правовими актами з питань охорони та захисту інформації;

власник УКР-НАТО ІКС — органи державної влади, підприємства, установи і організації, яким належить право власності на систему;

життєвий цикл УКР-НАТО ІКС — сукупність стадій та етапів, які проходить комунікаційно-інформаційна система (інформаційно-комунікаційна система) в своєму розвитку від дати прийняття рішення про початок її створення до дати виведення з експлуатації/утилізації обладнання;

національний Безпековий акредитаційний орган (далі — національний БАО) — державний орган, відповідальний за організацію акредитації з безпеки УКР-НАТО ІКС. Функції національного БАО відповідно до Адміністративних домовленостей щодо охорони інформації з обмеженим доступом між Урядом України та Організацією Північноатлантичного Договору, ратифікованих Законом України від 24 травня 2017 року № 2068-VIII (далі — Адміністративні домовленості), виконує Державна служба спеціального зв’язку та захисту інформації України;

орган безпеки — державний орган, відповідальний за імплементацію заходів з охорони інформації НАТО з обмеженим доступом, забезпечення впровадження мінімальних стандартів охорони та поводження з інформацією з обмеженим доступом, обмін якою здійснюється між Україною та НАТО, нагляд і контроль за їх дотриманням;

свідоцтво про акредитацію з безпеки УКР-НАТО ІКС — документально оформлений результат процесу, який підтверджує відповідність УКР-НАТО ІКС вимогам нормативно-правових актів з питань охорони та захисту інформації.

Інші терміни у цьому Порядку вживаються у значенні, наведеному в Адміністративних домовленостях, Законах України "Про Державну службу спеціального зв’язку та захисту інформації України", "Про захист інформації в інформаційно-комунікаційних системах", "Про державну таємницю", Положенні про технічний захист інформації в Україні, затвердженому Указом Президента України від 27 вересня 1999 року № 1229, Правилах забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженому постановою Кабінету Міністрів України від 18 грудня 2013 року № 939 (далі — Порядок 939), Типовій інструкції про порядок ведення обліку, зберігання, використання і знищення документів та інших матеріальних носіїв інформації, що містять службову інформацію, затвердженій постановою Кабінету Міністрів України від 19 жовтня 2016 року № 736, Правилах забезпечення охорони інформації НАТО з обмеженим доступом в Україні, затверджених наказом Служби безпеки України, Міністерства закордонних справ України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16 червня 2023 року № 224/ДСК/55/ДСК/157/ДСК, зареєстрованих в Міністерстві юстиції України 03 липня 2023 року за № 1129/40185 (далі — Правила), Інструкції з організації та забезпечення безпеки криптографічного захисту службової інформації, затвердженій наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 24 червня 2019 року № 102/ДСК, зареєстрованій в Міністерстві юстиції України 28 серпня 2019 року за № 993/33964.

4. Відповідно до пункту 1 статті 3 Адміністративних домовленостей грифи обмеження доступу України та НАТО співвідносяться таким чином:

5. Об’єктом акредитації з безпеки є УКР-НАТО ІКС.

6. Суб’єктами акредитації з безпеки УКР-НАТО ІКС є:

національний БАО;

орган безпеки;

власник УКР-НАТО ІКС.

1. УКР-НАТО ІКС підлягають обов’язковій акредитації з безпеки. Акредитація з безпеки УКР-НАТО ІКС здійснюється з метою встановлення достатнього рівня захисту УКР-НАТО ІКС та інформації НАТО, яка обробляється в УКР-НАТО ІКС, а також підтримки цього рівня з урахуванням умов конфіденційності, цілісності, доступності, безвідмовності та ідентифікації.

Для досягнення цих цілей має застосовуватися збалансований набір заходів безпеки (фізичної, персоналу, інформації, УКР-НАТО ІКС), а саме:

забезпечення конфіденційності, цілісності та доступності інформації шляхом контролю доступу до інформації НАТО з обмеженим доступом, яка обробляється в УКР-НАТО ІКС, підтримки системних сервісів і ресурсів;

забезпечення надійної ідентифікації та автентифікації осіб, пристроїв і сервісів, які мають доступ до УКР-НАТО ІКС, підтвердження ідентифікації та автентифікації користувачів УКР-НАТО ІКС;

неухильне дотримання користувачами інструкцій, правил роботи в УКР-НАТО ІКС.

2. Вимоги з безпеки в УКР-НАТО ІКС визначаються нормативно-правовими актами України, зокрема цим Порядком та імплементованими нормативними документами НАТО в сфері охорони та захисту інформації відповідно до вищого ступеня обмеження доступу до інформації, яка буде оброблятися в УКР-НАТО ІКС, умов і особливостей функціонування конкретної УКР-НАТО ІКС.

3. Акредитація з безпеки УКР-НАТО ІКС з грифами обмеження доступу ДСК/NR, які мають мережеві з’єднання, Т/NC, ЦТ/NS здійснюється відповідно до вимог цього Порядку з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив.

Акредитація з безпеки УКР-НАТО ІКС з грифом обмеження доступу ДСК/NR, які не мають мережевих з’єднань, здійснюється відповідно до національної процедури шляхом підтвердження відповідності комплексної системи захисту інформації з урахуванням вимог нормативного документа НАТО AC/322-D/0048-REV3 (INV). Technical and Implementation Directive on CIS Security.

4. Забезпечення захисту інформації в УКР-НАТО ІКС має здійснюватися протягом усього життєвого циклу УКР-НАТО ІКС у всіх режимах її функціонування та на всіх технологічних етапах обробки інформації.

5. Власник УКР-НАТО ІКС зобов’язаний негайно інформувати національний БАО та орган безпеки про будь-які події, що можуть вплинути на безпеку УКР-НАТО ІКС.

6. Національний БАО надає консультативну та методичну допомогу власникам УКР-НАТО ІКС, проводить перевірку впроваджених заходів безпеки в УКР-НАТО ІКС щодо їх відповідності вимогам законодавства та надає рекомендації стосовно коригувальних заходів.

1. Власник УКР-НАТО ІКС утворює службу захисту інформації або призначає відповідальних осіб за забезпечення охорони та захисту інформації НАТО з обмеженим доступом в УКР-НАТО ІКС (далі — СЗІ/ПО УКР-НАТО ІКС), на яку (-их) покладається завдання з організації, координації та виконання робіт із побудови УКР-НАТО ІКС та забезпечення в межах компетенції охорони та захисту інформації НАТО з обмеженим доступом, адміністрування і контролю.

2. Функції СЗІ/ПО УКР-НАТО ІКС:

розробка та погодження організаційно-технічних рішень на створення УКР-НАТО ІКС;

визначення необхідної (обґрунтованої) кількості користувачів УКР-НАТО ІКС та їх прав доступу до УКР-НАТО ІКС;

розробка та погодження з національним БАО документів з безпеки УКР-НАТО ІКС в обсязі, визначеному пунктом 1 глави 2 розділу III цього Порядку;

проведення в межах компетенції інструктажів і навчань користувачів УКР-НАТО ІКС з питань охорони та захисту інформації в УКР-НАТО ІКС;

оформлення, збереження та ведення технічної та експлуатаційної документації на УКР-НАТО ІКС;

проведення періодичної перевірки середовища безпеки УКР-НАТО ІКС, технічних засобів, облікових записів користувачів УКР-НАТО ІКС;

проведення заходів спільно з підрозділом реєстрації документів НАТО щодо з’ясування та усунення обставин, що призвели до порушень безпеки в УКР-НАТО ІКС, інформування про це національного БАО, а також за фактами виявлених порушень проведення службових розслідувань, службової перевірки, розслідування інциденту інформаційної безпеки тощо (далі — службові розслідування) в порядку, встановленому законодавством;

забезпечення експлуатації, функціонування, налаштування апаратних, програмних, програмно-апаратних засобів захисту інформації УКР-НАТО ІКС та здійснення поточного контролю за ними;

проведення заходів щодо виведення УКР-НАТО ІКС з експлуатації.

3. СЗІ/ПО УКР-НАТО ІКС спільно з підрозділом реєстрації документів НАТО здійснює оцінку ризиків безпеки УКР-НАТО ІКС, керуючись військовим стандартом "ВСТ 01.008.002–2021 (01). "Захист інформації з обмеженим доступом. Управління ризиками з безпеки комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1017-REV3, Guidelines for Security Risk Management (SRM) оf Communication and Information Systems (CIS), IDT)".

4. Результати оцінки ризиків безпеки оформлюються в окремий документ (Оцінка ризиків безпеки УКР-НАТО ІКС), який затверджується власником УКР-НАТО ІКС та зберігається у нього.

СЗІ/ПО УКР-НАТО ІКС протягом життєвого циклу УКР-НАТО ІКС здійснює періодичну оцінку ризиків безпеки з метою актуалізації процесів управління активами та протидії загрозам.

5. СЗІ/ПО УКР-НАТО ІКС повинна забезпечити виконання заходів безпеки для охорони та захисту інформації в УКР-НАТО ІКС відповідно до вимог національних нормативно-правових актів з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив.

Заходи з безпеки повинні виконуватися протягом усього життєвого циклу УКР-НАТО ІКС.

Заходи з безпеки УКР-НАТО ІКС мають постійно оновлюватися та доповнюватися актуальними вимогами із забезпечення охорони та захисту інформації НАТО з обмеженим доступом.

1. Користувачі, яким надається доступ до інформації, що циркулює в УКР-НАТО ІКС і має гриф обмеження доступу Т/NC і вище, а також особи, які не мають безпосередньо доступу до інформації, яка обробляється в УКР-НАТО ІКС, але мають доступ до підтримуючих системних сервісів і ресурсів, повинні мати відповідну форму допуску до державної таємниці та сертифікат особового допуску НАТО.

2. Користувачі УКР-НАТО ІКС зобов’язані дотримуватися вимог щодо забезпечення режиму обмеження доступу під час роботи в УКР-НАТО ІКС та обробки інформації НАТО з обмеженим доступом.

1. Власник УКР-НАТО ІКС визначає приміщення/зони, в яких буде розташована УКР-НАТО ІКС, з урахуванням вимог Порядку 939, Правил та з дотриманням вимог нормативного документа НАТО AC/35-D/2001-REV3. Directive on Physical Security.

2. При визначенні рівня (оцінки ризику безпеки) фізичної безпеки приміщення/зони, в якому(-ій) має бути реалізовано фізичний захист інформації, необхідно враховувати основні критерії оцінки відповідно до вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив, а саме:

категорію та ступінь обмеження доступу до інформації;

кількість (Мб, томи, аркуші, вироби) та вид (електронний, паперовий, окремі вироби тощо) інформації з обмеженим доступом, яка зберігається та/або обробляється в приміщенні/зоні та УКР-НАТО ІКС;

контроль за доступом до приміщень/зон з визначенням переліку осіб, які мають право доступу до цих приміщень/зон;

загрози від ворожих спецслужб, а також внутрішні загрози (тероризм, шпигунство, диверсії, саботаж, організована злочинність).

3. Заходи з фізичної безпеки розробляються з метою:

своєчасного виявлення та стримування внутрішніх загроз, а також запобігання виникненню цих загроз;

контролю та обмеження кола осіб, яким надається доступ до приміщень/зон відповідно до їх посадових обов’язків, форми допуску до державної таємниці та рівня сертифікатів особового допуску НАТО;

запобігання, виявлення загроз безпеки та негайного вжиття заходів, спрямованих на їх усунення.

1. Для передачі інформації НАТО з обмеженим доступом в УКР-НАТО ІКС за межі приміщення (зони) необхідно здійснювати криптографічний захист інформації за допомогою криптографічного обладнання.

2. Порядок застосування криптографічного обладнання та матеріалів для захисту інформації НАТО з обмеженим доступом визначено в розділі 11 "Криптографічна безпека" додатка "F" політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO)

3. Для передачі інформації НАТО з грифом обмеження доступу ЦТ/NS в УКР-НАТО ІКС використовується сертифіковане криптографічне обладнання відповідно до переліку, затвердженого Військовим комітетом НАТО.

4. Для передачі інформації НАТО з грифом обмеження доступу Т/NC або ДСК/NR в УКР-НАТО ІКС використовується сертифіковане криптографічне обладнання відповідно до переліку, затвердженого Військовим комітетом НАТО або державою — членом НАТО.

5. Вибір сертифікованого криптографічного обладнання здійснює власник УКР-НАТО ІКС за погодженням з національним БАО.

6. Вибір і погодження використання криптографічного обладнання здійснюються відповідно до процедур, визначених нормативним документом НАТО MCM-0008-2020 Process for Non-NATO Nations and International Organizations for the Provision and Procurement of NATO-Approved Cryptographic Systems.

7. Отримання, контроль, видача, експлуатація та виведення з експлуатації криптографічних матеріалів та засобів криптографічного захисту інформації (криптографічне обладнання) НАТО (апаратних/програмних засобів і ключів до них) здійснюються органом спеціального зв’язку/службою криптографічного захисту інформації власника УКР-НАТО ІКС через Головний центр реєстрації документів НАТО з обмеженим доступом Міністерства закордонних справ України (далі — Головний центр) та підрозділи реєстрації документів НАТО.

Проведення таких процедур відбувається під контролем національного БАО та органу безпеки відповідно до вимог національних нормативно-правових актів з урахуванням нормативних документів НАТО з питань охорони та захисту інформації.